2.2.2 Fases da Implementação de um Plano de Segurança Global

Transcrição

1 2.2.2 Fases da Implementação de um Plano de Segurança Global A elaboração de um Plano de Segurança Global exige que sejam tidos em conta os seguintes aspectos:?? Sensibilizar todos os executivos da organização sobre as questões de segurança dos SI;?? Analisar e diagnosticar a situação actual no que respeita aos riscos e à segurança dos SI a nível de software, hardware e recursos humanos;?? Elaborar um plano para um programa de segurança, o qual deve contemplar os seguintes aspectos: O plano de segurança destina-se a garantir a integridade e exactidão dos dados; Possibilitar a identificação da informação que é tida por confidencial; Considerar as áreas que se destinem a algum uso exclusivo; Proteger a conservação de todos os activos de desastres provocados por enganos ou por actos hostis e deliberados; Garantir que a organização possa sobreviver a desastres; Evitar que os órgãos de gestão sejam acusados de negligência ou imprudência. Considerações sobre o Pessoal. O plano deve ter em conta o pessoal técnico e o desenvolvimento da sua consciência profissional, a fim de que todos possam fazer a autoavaliação dos seus comportamentos e desenvolvam qualidades no sentido de:?? Assumir riscos;?? Cumprir prazos e satisfazer compromissos;?? Exercerem o esforço inovador.

2 4.2 Segurança da Informação nas Redes É oportuno apresentar alguns aspectos de uma política geral para segurança das redes locais que fundamentará os princípios necessários à criação de um ambiente de trabalho com alguma segurança e fiabilidade. Pode-se indicar alguns desses princípios: 1) A administração do servidor não deve ser remota e as funções do servidor não podem ser executadas remotamente; 2) Os programas dos utilizadores devem ser executados apenas nas estações de trabalho; 3) Toda a comunicação directa ponto-a-ponto deve ser feita através de um servidor; 4) Não é conveniente que existam múltiplas passwords para identificar o mesmo utilizador; 5) Todos os recursos físicos de tráfego, roteadores e hubs devem ser autorizados, identificados e serem objecto de supervisão; 6) Todas as redes locais devem estar integradas num plano completo e testado, relativo à recuperação de qualquer recurso em caso de desastres; 7) Informações classificadas como sensíveis ou confidenciais não devem ser transmitidas através de qualquer tipo de formato texto, mas utilizar os recursos criptográficos. A questão das tecnologias associadas à segurança dos SI adquire uma particular relevância quando um dado SI tem ligações na Internet. Deve-se considerar que os avanços tecnológicos podem acontecer a uma velocidade mais rápida do que a criação e implementação de medidas de segurança nos novos produtos.

3 ?? Deficiente filtragem das diferentes mensagens e dos serviços em geral;?? Possibilidade de funcionamento com listas de controlo de acesso desactualizadas;?? Não funcionar como firewall também do ponto de vista dos contactos internos. 4.7 Auditoria de Segurança em Redes Consiste na obtenção, análise e avaliação dos dados e das informações, no sentido de verificar se as regras e políticas de segurança, definidas pelos órgãos de gestão são ou não aplicadas, integralmente cumpridas e com que resultados. Interessa considera os seguintes aspectos:?? A auditoria pode ser realizada de modo automático ou semi-automático, com o auxílio de softwares específicos;?? A auditoria tem por finalidade alertar apenas para as situações que se estabelecem no SI e executar acções pré-programadas e de carácter correctivo de acordo com cada situação específica. Uma auditoria da segurança pode ser realizada nas seguintes situações:?? Antes da montagem e do funcionamento da rede;?? Para manutenção da rede;?? Para resolver uma emergência.

4 6.2 Áreas da auditoria da segurança As áreas que serão discutidas podem ser objecto da auditoria de segurança, embora em cada caso seja indispensável definir os objectivos específicos. Quando se trate de uma auditoria externa, esses objectivos devem ser expressos de forma clara e por escrito. As áreas gerais citadas são: 1) Os controlos directivos, isto é, os fundamentos da segurança: políticas, planos, funções, existência e funcionamento de comissões relacionadas com estas finalidades, objectivos de controlo e existem sistemas e métodos de avaliação periódica de riscos; 2) O desenvolvimento das políticas: procedimentos, possíveis padrões e normas; 3) Ameaças físicas externas: inundações, incêndios, explosões, terramotos, terrorismo, greves; 4) Controlo de acessos adequado, tanto físicos como lógicos, para que cada utilizador possa aceder aos recursos a que esteja autorizado e realizar apenas as funções permitidas (leitura, execução, cópia); 5) Protecção de dados. Importa considerar os dados de carácter pessoal e tenham tratamento informatizado e outros controlos no que se refere aos dados em geral e aos riscos a que estejam submetidos; 6) Comunicações e redes: tipo de comunicações, possível uso de cifragens, protecções em relação aos vírus; 7) O desenvolvimento de aplicações num ambiente seguro e a incorporação de controlos nos produtos desenvolvidos de modo que possa ser realizada a sua auditoria; 8) A continuidade das operações.

5 7.2 A Segurança como suporte estratégico A função informática como base da estratégia Quando uma organização decide desenvolver a criação de uma área funcional de informática, então os diversos níveis da gestão têm de colaborar para decidir estrategicamente quais as actividades em que será feito investimento financeiro, utilizando-se o potencial humano e as actuais capacidades tecnológicas. É possível que a função informática funcione com autonomia no que tem de tecnicamente próprio, mas a orientação de gestão tem de integrá-la em toda a estratégia empresarial. Encarada como área funcional e para poder propor a organização do SI, a função informática tem de estar atenta e dependente da evolução das TI e de conhecimentos técnico do seu sector e de outros com ele relacionados, manter e estimular um clima de manutenção da segurança e realizar o desenvolvimento e actualização dos seus recursos humanos no sentido de contribuírem para manter a eficiência dos diversos elementos do SI. Para gerir estrategicamente a função informática e todos os seus recursos, nomeadamente o SI, os órgãos de gestão têm de, antes e acima de tudo, integrá-la nas linhas gerais de desenvolvimento tecnológico, e desenvolver as suas ligações com todas as áreas funcionais da empresa.

6 As 5 páginas correspondem sequencialmente às pgs. 26, 72, 92, 143 e 188 do Livro